翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
と AWS Support の仕組み IAM
IAM を使用して へのアクセスを管理する前に AWS Support、 で使用できるIAM機能を理解しておく必要があります AWS Support。 AWS Support およびその他の AWS のサービスが とどのように連携するかの概要についてはIAM、 IAM ユーザーガイドのAWS 「 と連携する のサービスIAM」を参照してください。
AWS Support を使用してアクセスを管理する方法についてはIAM、「 のアクセスを管理する AWS Support」を参照してください。
AWS Support アイデンティティベースのポリシー
IAM ID ベースのポリシーでは、許可または拒否されたアクションとリソース、およびアクションが許可または拒否される条件を指定できます。 は特定のアクション AWS Support をサポートします。JSON ポリシーで使用する要素については、 IAM ユーザーガイドのIAMJSON「ポリシー要素リファレンス」を参照してください。
アクション
管理者はポリシーを使用して AWS JSON、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。
JSON ポリシーの Action
要素は、ポリシー内のアクセスを許可または拒否するために使用できるアクションを記述します。ポリシーアクションは通常、関連付けられた AWS APIオペレーションと同じ名前です。一致するAPIオペレーションがないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。
このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。
のポリシーアクションは、アクションの前に次のプレフィックス AWS Support を使用します: support:
。例えば、Amazon EC2RunInstances
APIオペレーションで Amazon EC2インスタンスを実行するアクセス許可をユーザーに付与するには、ポリシーに ec2:RunInstances
アクションを含めます。ポリシーステートメントには、Action
要素または NotAction
要素のいずれかを含める必要があります。 AWS Support は、このサービスで実行できるタスクを説明する独自の一連のアクションを定義します。
単一のステートメントに複数のアクションを指定するには、次のようにカンマで区切ります。
"Action": [ "ec2:action1", "ec2:action2"
ワイルドカード (*) を使用して複数アクションを指定できます。例えば、Describe
という単語で始まるすべてのアクションを指定するには、次のアクションを含めます。
"Action": "ec2:Describe*"
AWS Support アクションのリストを確認するには、 IAM ユーザーガイドの「 で定義されるアクション AWS Support」を参照してください。
例
AWS Support ID ベースのポリシーの例を表示するには、「」を参照してくださいAWS Support ID ベースのポリシーの例。
AWS Support IAM ロール
IAM ロールは、特定のアクセス許可を持つ AWS アカウント内のエンティティです。
での一時的な認証情報の使用 AWS Support
一時的な認証情報を使用して、フェデレーションでサインインしたり、IAMロールを引き受けたり、クロスアカウントロールを引き受けたりすることができます。AssumeRole や などのオペレーションを呼び出す AWS STS APIことで、一時的なセキュリティ認証情報を取得しますGetFederationToken。
AWS Support は、一時的な認証情報の使用をサポートしています。
サービスリンクロール
サービスにリンクされたロールを使用すると、 AWS サービスが他のサービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスにリンクされたロールはIAMアカウントに表示され、 サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
AWS Support は、サービスにリンクされたロールをサポートします。 AWS Support サービスにリンクされたロールの作成または管理の詳細については、「」を参照してくださいAWS Supportのサービスにリンクされたロールの使用。
サービスロール
この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。このロールにより、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールはIAMアカウントに表示され、アカウントによって所有されます。つまり、IAM管理者はこのロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。
AWS Support はサービスロールをサポートします。